08 Jul CLOUD THREAT, SHOULD WE CONCERN?

Posted at 18:04h in CyberSecurity Hub by

คุณมั่นใจหรือ? ว่าการเลือกใช้ Cloud ของผู้ให้บริการชื่อดังจะช่วยให้บริษัทปลอดภัยหายห่วง

นี่เป็นคำถามที่เกิดขึ้นหลังจากนักวิจัยทีม Unit 42 จาก Palo Alto Networks ค้นพบ Newly Observed Hostname (NOH) หรือชื่อของ Hostname ใหม่ซึ่งมี Keyword ที่เกี่ยวข้องกับการระบาดของไวรัส COVID-19 จำนวน 1,200,000 ชื่อ จนพบว่าชื่อโดเมนแบบเต็ม (Fully Qualified Domain Names) กว่า 86,600 โดเมนนั้นสามารถจำแนกแยกแยะได้เป็นโดเมนประเภท “High-risk” หรือ “Malicious” (C2, Malware หรือ Phishing) มีการกระจายไปทั่วภูมิภาคต่างๆ  ไม่ว่าจะเป็นสหรัฐอเมริกาที่มีจำนวน Malicious Domain มากที่สุด (29,007) ตามด้วยอิตาลี (2,877), เยอรมัน (2,564), และรัสเซีย (2,456)

NOH โฮสต์อยู่ที่ไหนบ้าง? ทีมนักวิจัยแห่ง Palo Alto Networks พบว่ากว่า 56,200 ของ NOH นั้นโฮสต์ไว้กับผู้ให้บริการ Cloud รายใหญ่ (Cloud Service Providers) 4 ราย ได้แก่ Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) และ Alibaba แสดงให้เห็นว่าต่อให้คุณเลือกใช้บริการ Cloud จากผู้ให้บริการชื่อดัง ก็ไม่ได้ช่วยให้คุณปลอดภัย อยู่ดี

ในระหว่างการวิจัยยังพบว่าบาง Malicious Domain นั้นแปลงไปเป็น IP ได้แบบ Multiple IP address และบาง IP address นั้น Map กับหลาย Malicious Domain ซึ่งการ Mapping แบบ Many-to-many นี้เกิดขึ้นได้บ่อยใน Cloud Environment ที่มีการใช้งานในลักษณะ Content Delivery Networks (CDNs) โดยจะส่งผลให้ Firewall ที่ทำงานในระดับ IP-based นั้นไร้ประโยชน์ไปโดยปริยาย

ข้อมูลน่าสนใจจากการวิจัย

  • โดยเฉลี่ยจะมี 1,767 High-risk Domain หรือ Malicious Domain Name ที่ใช้ Theme COVID-19 เกิดขึ้นใหม่ทุกวัน
  • จากกว่า 86,600 Domain Names พบว่า 2,829 Domain Names ที่โฮสต์ไว้ใน Public Cloud นั้นเป็น High-risk หรือ Malicious Domain โดยมีรายละเอียดดังนี้
    • 2% in AWS
    • 6% in GCP
    • 9% in Azure
    • 3% in Alibaba
  • ผู้ไม่ประสงค์ดีพยายามแฝง Malicious Activity เช่น Phishing และการส่ง Malware ผ่าน Cloud
  • ราคาที่สูง รวมถึงกระบวนการคัดกรองและตรวจสอบที่เข้มงวดนั้น ทำให้ Malicious Actors ไม่อยากจะโฮสต์ Malicious Domain ไว้ใน Public Cloud

ภัยคุกคามที่โจมตีมาจาก Cloud นั้นยากต่อการป้องกัน เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จาก Resource ของระบบ Cloud นำมาช่วยเพิ่มพลังการโจมตีและหลบหลีกการตรวจจับ นี่จึงทำให้เราได้คำตอบว่า

Secure The Cloud คือสิ่งที่บริษัทต้องทำทันที เพราะผู้ให้บริการ Cloud ยอดนิยมไม่ได้ตอบโจทย์ในเรื่องของความปลอดภัยอีกแล้ว บริษัทควรเลือกใช้ Cloud-Native Security Platform และแอปพลิเคชันบน Firewall ที่รู้เท่าทันภัยคุกคามเช่นนี้ ซึ่ง Palo Alto Networks หมั่นตรวจสอบ Malicious NOH อย่างต่อเนื่อง ด้วยโซลูชั่น Prisma Cloud และ VM-Series ที่ทำให้ Cloud Environment มีความสามารถระดับ Layer-7 Firewall ป้องกัน Malicious Activity ที่เสี่ยงจะก่อให้เกิดอันตรายจาก Malicious Domain

นอกจากนี้ Palo Alto Networks ยังมีการคัดกรอง URL เพื่อให้ระบบของบริษัทปลอดภัยสูงสุดด้วย URL Filtering โดย URL นั้นๆจะถูกจัดว่าเป็นอันตราย (Malicious) หากตรวจพบว่ามีความเสี่ยงที่จะเป็น Malware หรือ Phishing ยิ่งหากก่อนหน้านี้พบว่าเป็น Malicious, โฮสต์บน Bulletproof ISPs, มีการแชร์โดเมนกับ Malicious Site ก็จะถูกระบบตีตราไว้ว่าเป็น High-risk หรือ Malicious ทันที

รู้เท่าทันภัยคุกคามด้วยข้อมูลที่เป็นปัจจุบันอยู่เสมอ ฐานข้อมูลของ Palo Alto Networks ถูกเพิ่มพูนด้วยข้อมูลสำคัญจากการใช้ Palo Alto Networks URL Filtering, AutoFocus, WHOIS Database, และ IP Geolocation เราจึงมั่นใจได้ว่าไม่ว่าจะเป็น NOH หรือ Hostname อื่นๆ Palo Alto Networks ก็จะยังกดความเสี่ยงที่อาจเกิดขึ้นกับระบบให้ต่ำลงได้มากที่สุด

ลูกค้า Palo Alto Networks จะได้รับการคุ้มครองจากภัยคุกคามเหล่านี้ จากโซลูชั่น Prisma Cloud, VM-Series และ Palo Alto Network URL Filtering

ภัยคุกคามทางไซเบอร์พัฒนาขึ้นอย่างรวดเร็ว เราจะเห็นได้ว่าตอนนี้การจู่โจมที่เกิดขึ้นไม่ได้ตั้งเป้าไปที่ผู้ใช้งาน Cloud เพียงอย่างเดียว แต่กลับเป็นภัยคุกคามที่เกิดขึ้นบน Cloud เองด้วยซ้ำ ทุกๆวัน Malicious Domain จำนวนมากมายกำลัง Online อยู่ มันเป็นเรื่องสำคัญมากที่เราจะต้องปกป้อง Endpoint ด้วยโซลูชันที่สามารถปกป้องภัยคุกคามได้อย่างอัตโนมัติ และมีการ Monitor อย่างต่อเนื่อง เพราะแอปพลิเคชันที่อยู่บน Cloud เองก็ถูกภัยคุกคามตัวเดียวกับ Endpoint ที่ไม่ได้ใช้ Cloud โดน ซึ่งปัญหานี้จะยิ่งซับซ้อนมากขึ้นไปอีกหากคุณต้องทำงานบน Multi-cloud Environment เท่านั้นยังไม่พอความซับซ้อนของ Cloud Management ก็ทำให้เกิดการ Config ที่ผิดพลาดโดยตัวผู้ใช้งานเองจนอาจทำให้เกิดปัญหาด้านความปลอดภัย

ดังนั้น Cloud Native Security Platforms (CNSPs) จึงเข้ามาช่วยให้บริษัทดูแลและปกป้องข้อมูลที่ต้องผ่านผู้ให้บริการ Cloud หลายเจ้าได้ อีกทั้งยังช่วยจัดการปัญหาเกี่ยวกับ Workloads และ Hybrid Cloud Environments อีกด้วย

อยากได้ข้อมูลมากกว่านี้? nForce Secure คือผู้เชี่ยวชาญระดับ Value-added ในการให้คำแนะนำและจัดจำหน่าย Palo Alto Networks ที่คอยตอบคำถามของคุณพร้อมรอยยิ้ม ติดต่อได้ที่ Line: @nforcesecure หรือโทร 02 274 0984

คลิกเพื่อดูที่มาข้อมูล

Print page
1 Like